IBM WebSphere Application Server 8.5 < Fix Pack 8.5.5.3 多种漏洞

medium Nessus 插件 ID 77438

语言：

简介

远程应用程序服务器可能受到多种漏洞影响。

描述

远程主机似乎正在运行低于 Fix Pack 8.5.5.3 的 IBM WebSphere Application Server 8.5。因此，它受到以下漏洞的影响：

- 椭圆曲线数字签名算法实现中存在一个缺陷，允许恶意进程恢复 ECDSA 临时信息。
（CVE-2014-0076、PI19700）

- 记录没有赋值的 Cookie 时，“mod_log_config”中存在一个拒绝服务缺陷。远程攻击者可使用特别构建的请求来导致程序崩溃。（CVE-2014-0098、PI13028）

- 具有反向代理组件的 Web 型 IBM 安全访问管理器中存在一个拒绝服务缺陷。
这可能引起远程攻击者使用特别构建的 TLS 流量，导致系统上的应用程序处于无响应状态。（CVE-2014-0963、PI17025）

- 处理 SOAP 响应时存在一个信息泄露缺陷。这可能导致远程攻击者访问潜在敏感信息。
（CVE-2014-0965、PI11434）

- 存在一个信息泄露缺陷。远程攻击者可使用特别构建的 URL 访问潜在敏感信息。
（CVE-2014-3022、PI09594）

- “addFileRegistryAccount”Virtual Member Manager SPI Admin Task 中存在一个缺陷，该缺陷可创建错误的帐户。这可允许远程攻击者绕过安全检查。（CVE-2014-3070、PI16765）

- 存在一个不明信息泄露漏洞。这可允许远程攻击者通过访问获得敏感信息。（CVE-2014-3083、PI17768）

- “share/classes/sun/security/rsa/RSACore.java”类中存在一个与“RSA 伪装”相关的信息泄露缺陷，在使用私钥和测量时间性差异的操作期间会造成该缺陷。这可允许远程攻击者获得关于使用的密钥的信息。(CVE-2014-4244)

- “share/classes/sun/security/util/KeyUtil.java”类中的“validateDHPublicKey”函数中存在一个缺陷，验证 Diffie-Hellman 公钥参数期间会触发该缺陷。这可允许远程攻击者恢复密钥。(CVE-2014-4263)

- Load Balancer for IPv4 Dispatcher 组件中存在一个缺陷。这可允许远程攻击者导致 Load Balancer 崩溃。（CVE-2014-4764、PI21189）

- 安装功能时 Liberty Repository 中存在一个缺陷。这可允许经过认证的远程攻击者安装并执行任意代码。
（CVE-2014-4767、PI21284）